Anfrage von einem VLAN ins andere VLAN routen/ mappen

[1781]

Hallo,

leider habe ich ein Problem, das ich auch mit dem Nutzen der Suchfunktion im Forum noch nicht lösen konnte.
Ich bin davon überzeugt, ihr wisst, wie das einfach zu lösen geht.

Ich habe zwei VLANs 3 und 4.
Normal sollte der Netzwerkverkehr durch genau diese 2 VLANs komplett getrennt sein.
Bis auf einen Server in VLAN 3, der muss auch von allen anderen Clients in VLAN 4 erreichbar sein.
Also N Clients dynamische IPs zu 1 Server feste IP.
Wie löse ich das am einfachsten nur für diesen Sonderfall?

Ich habe schon viel getestete von eigenem Routing Eintrag in der Routung Tabelle und einem Eintrag in der Dienst Tabelle speziell für den entsprechenden Port.
Aber alles leider erfolglos.
Fehler: Die Clients können das Zielnetz nicht erreichen, in dem der Server steht.

[hyperjojo]

Hallo,

das hat weniger was mit den VLANs, sondern mehr mit deinen internen Netzen zu tun.
Und dazu hast du recht wenig geschrieben.
Welche Netze gibt es? Gibt es Schnittstellen-Tags oder Firewall-Regeln? Ist der Server das einzige Gerät in dem Netz oder gibt es mehrere Geräte? Was würde dagegen sprechen, für den Server ein eigenes Netz zu kreieren?

Gruß hyperjojo

[1781]

Danke für deine Antwort hyperjojo.

Die Netze sind: 192.168.15.1 (Default) und 192.168.179.1 (Gast)
Alle Pakete mit VLAN 3 werden ins Netz 192.168.15.1 geroutet.
Alle Pakete mit VLAN 4 werden ins Netz 192.168.179.1 geroutet.

Der Server steht im Netz 192.168.15.1 und ist folglich auch für alle Clients aus diesem Netz erreichbar.
Jetzt gibt es aber Clients im Netz 192.168.179.1 die auch den Server im anderen Netz erreichen müssten.
Schnittstellen-Tags oder Firewall-Regeln gibt es keine (Auslieferungszustand).

Ein eigenes Netz für den Server? Das ist nicht meine favorisierte Lösung.
Der sollte schon im Netz 192.168.15.1 bleiben, aber auch für Clients aus dem anderen Netz 192.168.179.1 erreichbar sein.

[Dr.Einstein]

Hallo 1781,

mach doch einfach .

Wenn beide Netze momentan das selbe Schnittstellen-Tag haben, ist eine Kommunikation aktuell schon möglich. Sollte es nicht klappen, kann es z.B. an der (Windows) Firewall liegen, oder an falschen / fehlenden Gatewayeinträgen in den Maschinen.

Hast du ungleiche Schnittstellen-Tags könntest du auf gleiche Schnittstellen-Tags umstellen, und dann mittels 3 Firewallregel den Datenverkehr kontrollieren, ALLOW Quelle Netz 1 Ziel Server 1 (hohe Prio), DENY Quelle Netz 1 Ziel Netz 2 + DENY Quelle Netz 2 Ziel Netz 1.

Geht auch andersrum mit Firewallregel Routing Tags umtaggen, aber das ist erstmal ein Weg.

Gruß Dr.Einstein

[1781]

Danke für deine Hilfe Dr.Einstein.

ja, beide Netze verwenden den selben Schnittstellen-Tag.

Kann ich das auch über die Routing Tabelle lösen?

[ecox]

Hallo 1781,

wieso arbeitest du da nicht mit der Firwall und taggst die Pakete bei Anfragen auf den Server um? Sie kommen mit 4 rein und gehen mit 3 an den Server raus.

@community: oder wäre das der falsche ansatz?

Grüße

[Dr.Einstein]

Wenn bereits beide Schnittstellen das gleiche Tag haben, muss es jetzt schon funktionieren. Alles weitere über Firewallregeln kommt erst danach, wenn man das Verhalten anpassen möchte.

[ecox]

Wenn bereits beide Schnittstellen das gleiche Tag haben, muss es jetzt schon funktionieren. Alles weitere über Firewallregeln kommt erst danach, wenn man das Verhalten anpassen möchte.

Aber wenn er mit VLANs arbeitet und ARF-Tags, dann greift doch erst die Trennung auf Layer-2 bevor es auf Layer-3 zum ARF kommt? Ist eine Kommunikation dann überhaupt möglich?

Nehmen wir mal an wir arbeiten mit VLANs, aber alle Netze haben das gleiche ARF-Tag, dann wäre doch VLAN hinfällig?

Grüße

[Dr.Einstein]

Wieso?

[backslash]

Hi ecox,

Aber wenn er mit VLANs arbeitet und ARF-Tags, dann greift doch erst die Trennung auf Layer-2 bevor es auf Layer-3 zum ARF kommt? Ist eine Kommunikation dann überhaupt möglich?

wie du schon schriebst: VLANs trennen auf Layer-2... Der Router läuft aber auf Layer-3 und kennt daher kein VLAN, sondern nur Netze, zwischen denen er routet. Also ja: die Kommunikation zwischen den Netzen ist über den Router möglich.

Nehmen wir mal an wir arbeiten mit VLANs, aber alle Netze haben das gleiche ARF-Tag, dann wäre doch VLAN hinfällig?

nein, denn mit dem VLANs erzwingst du, daß die Netze physikalisch getrennt sind - als wären sie auf zwei verschiedenben Kabeln. Daher wird ein Router nötig, um die Netze zu koppeln. Ganz nebenbei kannst du dann über die Firewall regeln, wer worauf zugreifen darf...

Ach ja: das ist hier im ganzen Thread noch nicht gefallen, weil es scheinbar als selbstverständlich angenommen wird: Das Ganze funktioniert natürlich nur, wenn sich die Netze voneinander unterscheiden... "Gleichnamige" Netze lassen sich auch über einen Router nicht verbinden, die Brodacast-Domain immer am Router endet und somit ARP-Requests für Hosts im anderen Netz ins Leere laufen.

Gruß
Backslash

[1781]

Also ich verstehe VLANs auch zum physikalischen Trennen von Netzen, wie du backslash.

Ich habe die Konfiguration getestet und es ist mit der aktuellen Konfiguration über VLANs unmöglich vom einen Netz in das andere zukommen. So ist das auch gewollt.

@ ecox. Das finde ich eine interessante Idee mit der Firewall die Pakete umzutaggen, die ich mir genauer anschauen werde. Hättest du da bitte ein Beispiel für mich, wie die Regel(n) vom Prinzip her aussehen sollten?

[1781]

Bitte schließen, da dieses Projekt nicht weiterverfolgt wird.
Grund: Diese Ausnahme durch eine Firewall Regel könnte für den Zugriff auf das andere Netz ausgenutzt werden.

Vielen Dank für Eure Hilfe!

[Tim0]

Hallo 1781,

könntest Du deine Aussage

Grund: Diese Ausnahme durch eine Firewall Regel könnte für den Zugriff auf das andere Netz ausgenutzt werden.

bitte kurz ausführen?
Der Zugriff ist doch, mit Hilfe dieser Ausnahme, auf bestimmte Dienste gewollt?
Oder gibt es ein Leck?

Interessiert mich, da ich derzeit vor einer ähnlichen Frage stehe.
Ich habe 2 VLAN mit verschiedenen Schnittstellen-Tags, und versuche von VLAN1 in´s VLAN2 (SMB) zu kommen.
In der Firewall habe ich eine Regel mit Quell Tag (Schnittstellen Tag VLAN1) ins Routing TAG (Ziel Schnittstellen TAG VLAN2) mit den
benötigten Ports und Stationen angelegt.
Seltsamerweise bekomme ich noch nicht mal ICMP durch.

Ich bin mir momentant nicht ganz sicher, ob mir die Firewall da im Weg steht, oder ob ich einen Verständnisfehler im VLAN Routing (durch 2 Switche) habe.
Werde nachher mal etwas tracen.

So einen Zugriff mit Ziel-Tag 0 (bzw. 65535) habe ich schon mehrfach mit Erfolg eingerichtet.
Jedoch noch nie mit einem Zielt-Tag ungleich 0.

Was macht der Lancom eigentlich im VLAN Routing?
Entfernt er VLAN Tags aus den Paketen? Oder routet er einfach nur?

Mir ist nicht ganz klar, was mit dem Paket aus VLAN1 passiert bzw. wie ich dieses durch 2 VLAN Switche zu dem Host bekommen soll,
der eigentlich nur VLAN 2 mittels PVID bekommt.

Das VLAN 2 untagged an den Port legen greift anscheinend aufgrund der PVID nicht.

Es bleibt spannend.....